Extensões de navegadores são uma preocupação obscura da TI. Avaliar a reputação e segurança de uma extensão de navegador é crucial antes de instala-la em um computador, as extensões normalmente tem diversas permissões que podem ser abusadas para roubo de dados ou outras atividades maliciosas.
Em uma companhia com estilo de ambiente aberto, as extensões geralmente significam um risco obscuro para TI que precisa ser gerenciado e endereçado.
Vamos dar uma luz sobre os desafios de segurança que as extensões representam e como você usa o Torq para automatizar a avaliação do risco que uma extensão pode causar.
Decidimos pegar partes de uma certa extensão que nos ajuda a capturar telas inteiras de uma página. Ao navegar na página oficial da extensão, na página de privacidade tinha um dizer:
“O desenvolvedor garante que não coletará ou utilizará seus dados.”
Pois vamos ver na política de privacidade!
Encontramos duas clausulas:
Quando você acessa o nosso serviço, podemos automaticamente coletar dados não pessoais seus como páginas vistas, tipo de navegador, serviço referido, informação de busca, tipo de dispositivo, visualização da página, utilização e hábitos de navegação no serviço e dados similares.
Além de:
É possível as vezes ao coletar dados não pessoais através de meios automáticos que podemos coletar de forma não-intencional ou receber dados pessoais misturados com dados não-pessoais.
Deste ponto, checamos mais propriedades de dados que podiam me ajudar a decidir se essa extensão ficaria ou seria removida. Junto a revisão da política de privacidade e a página web, checamos alguns parâmetros adicionais:
Método de instalação
Como a extensão foi instalado – NORMAL ou SIDELOAD
- NORMAL – Extensão instalada diretamente pelo usuário direto da loja oficial de extensão do navegador.
- SIDELOAD – Extensão instalada de uma origem fora da loja oficial de extensões do navegador.
- DSESENVOLVIMENTO – A Extensão foi carregada diretamente no navegador para testes ou propósitos de desenvolvimento, ao invés de ser instalada da loja web ou de um canal oficial de distribuição
Essa extensão em particular foi instalada pelo método de SIDELOAD, que pode gerar um maior risco por não ter passado pelas avaliações rígidas de segurança como ela teria se tivesse vindo de uma loja oficial.
Permissões
Foram examinadas as permissões – o que elas permitem que a extensão faça. A lista de permissões incluía algumas extensões perigosas:
- <all_urls> – Permite que a extensão acesso todas as páginas web. Essa permissão é muito ampla e é uma das mais severas em termos de potenciais riscos de privacidade e segurança.
- Tabs – Dá a extensão acesso a várias propriedades nas abas do navegador. Isso pode incluir ler a URL, título e outros atributos de abas além de fechar, mover e criar novas abas.
- unlimitesStorage – Permite que a extensão armazene mais dados do que tipicamente permitido pelo armazenamento local do navegador.
- display – Permite que a extensão interaja com as propriedades de display do sistema. Isso pode incluir coisas como:
- Consultar metadata do display: Coletar informações dos displays conectados, como sua resolução, orientação, etc.
- Manipular as configurações do display: Alterar configurações como resolução de tela ou orientação.
- Controlar o layout do display: Posicionar telas em configurações multi-display.
- Script – Depende no que os scripts são executados (pode estar relacionado a um risco na cadeia de suprimentos)
Scans de vulnerabilidade
Usando a extensão gratuita de scan CRXcavator pode nos informar melhor sobre extensões que podem ser consideradas em uma avaliação de risco. Dados de tomada de decisão podem ser adicionados através de sua API como:
- Scan de vulnerabilidade: Há alguma vulnerabilidade nos componentes aplicados? Existem vulnerabilidades CISA KEV?
- Risco ao longo do tempo: O risco geral da extensão, é escalável?
- CSP (Política de segurança de conteúdo): Detalhamentos avançados.
- Networking: Pode estar correlacionado com <all_urls>
Whois
Utilize o Whois para encontrar a URL da extensão do website. Isso pode ajudar a entender mais sobre uma extensão, como de onde vem a extensão, a idade do domínio e muito mais. Whois revelou que a idade do domínio dessa extensão é de 59 dias.
Hora da avaliação de risco
Dada as informações que consegui coletar, posso agora avaliar o risco e tomar uma decisão.
- A política de privacidade mostra informações não comprometidas sobre a capacidade de coletar PII. Isso tem consequências tremendas no compliance, nas configurações de privacidade e política.
- Considerando permissões como <all_urls>, scripting, tabs – Elas geram riscos afetando a privacidade dos dados, conformidade e cadeia de suprimento (scripting?), vazamento de dados, etc.
- Considerando o método de instalação – NORMAL, caso este método tivesse sido utilizado ao menos o risco seria menos, o que não é o caso aqui já que foi instalado como SIDELOAD – fora da loja oficial de extensão do navegador, o que significa que não foi avaliada pela Google.
- Whois – A idade do domínio é muito baixa, 59 dias, pode levantar suspeitas de algo, apesar de nem sempre ser necessariamente algo ruim.
- Considerando que há algumas vulnerabilidades altas (com alto EPSS).
Após examinar esses pontos acima, assumimos que a melhor conclusão é remover a extensão. Entretanto, em qualquer ambiente há várias variáveis que podem causar a tomada de decisão de manter a extensão instalada.
Como automatizar a avaliação de risco da extensão
Todo esse trabalho tem de ser feito manualmente, correto? Isso pode ser hábil caso você tenha apenas algumas poucas extensões a se investigar. A maioria das organizações, no entanto tem 20x mais extensões. Então decidimos usar o Torq para criar fluxos de trabalho para automatizar a avaliação de risco da extensão.
Como fizemos:
- Foco apenas nas permissões de risco. Extensões tem dezenas de tipos de permissões. Usamos a integração de Gen IA do Torq para atribuir um valor de risco (de 1 à 5) para cada permissão, considerando suas capacidades. Focando nas permissões mais comuns, reduzindo o número de problemas a se endereçar.
- Deixe a IA resumir a política de privacidade com um prompt focado em informação pessoal, processadores de dados adicionais e o que é essencial para manter a conformidade governada.
- Use Whois para ter a idade do domínio e o status de atividade.
- Extraia o CVE da extensão e use o poder da automação para enriquecer e anexar as métricas de CISA KEV, EPSS e CVSS para melhorar gerenciamento de vulnerabilidade.
- Correlacione os CVEs com o seu inventário de vulnerabilidades de dispositivo para detectar se eles estão vulneráveis.
- Agregar todas as informações em um caso para o veredito:
- Se o risco é tolerável, vá até o colaborador para entender se a extensão é usada e necessária para propósitos de trabalho.
- Se o risco não é tolerável, vá até o colaborador para informar da remoção da extensão. Execute o comando de MDM para removê-lo imediatamente.
- Exclua a extensão de uso.
Conclusão
A decisão de remover ou manter uma extensão pode mudar diante de diferentes circunstâncias e com base nos dados. Entretanto, uma extensão que viola a conformidade de privacidade e provoca diversas vulnerabilidades não deve ser ignorada.
Como profissionais de segurança, é nosso trabalho educar e alertar sobre extensões e seus potenciais riscos ao mesmo tempo que oferecemos informações com base em investigação e análise. Deste ponto, as organizações podem tomar decisões informadas se elas permitirão uma certa extensão.


